技術領域

本發明涉及訪問權限管理的領域。本發明尤其涉及一種用于在系統中授予訪問權限的方法和裝置，該系統被配置為處理用戶對該系統資源的訪問權限。

背景技術

可以允許或拒絕用戶對不同資源進行訪問的訪問系統已經變得越來越流行。例如，可給予用戶進入指定區域、在計算機上登入、在計算機系統中訪問文件、在軟件系統中做出改變等權限。以這種方式，可以控制用戶的對屬性(property)以及對敏感信息的訪問。

典型地，這種系統中的訪問權限是提前、永久性地分配的。利用這種分配機制，如果僅向一個人指派特定權限，則可能發生問題。在此人不在場時，他或她隨后會成為單一故障點。在提出了用戶可以在離開時向另一用戶指派文檔的暫時擁有權的US2012/0304306A1中進一步討論了此問題。

在US2012/0304306A1中描述的方法要求手動授予訪問權限。此外，所提出的方法要求訪問權限是提前授予的。因此，如果人突然生病或者因為一些原因沒有出現在辦公室，則US2012/0304306A1的方法可能失敗。因此，存在改進空間。

發明內容

考慮到以上內容，因此本發明的目的是提供用于授予訪問權限的改進的方法和裝置。具體地，目的是提供允許在用戶缺席時自動授予用戶的訪問權限的方法和裝置。

根據本發明的第一方面，通過用于在系統中授予訪問權限的方法實現上述目的，該系統被配置為處理用戶對系統中的資源的訪問權限。該方法包括：

向第一用戶指派第一訪問權限；

指定用作第一用戶的副手的一個或多個用戶的池；

檢查第一用戶是否在預定義時間段期間沒有執行與資源相關的預定義活動；并且如果是，則

向池中的用戶授予第一訪問權限。

根據上述方法，向第一用戶指定一池(即，一組)的一個或多個用戶。池中的用戶用作第一用戶的副手。換言之，池用作第一用戶的后備組。

本發明的思想大體上是自動地檢查第一用戶是否缺席，并且在檢查到第一用戶缺席時，向池中的用戶授予第一用戶的訪問權限。已經意識到，通過關于系統的資源檢查用戶的活動(或者更確切地說是缺乏活動)來檢查用戶是否缺席是可能的。例如，通常缺席的用戶沒有試圖進入建筑或者試圖登入至計算機。基于此認識，提出了檢查第一用戶是否在預定義時間段期間沒有執行與系統的資源相關的預定義活動。如果是，則認為第一用戶缺席。與系統的資源相關的預定義活動可以例如是：登入至計算機、請求訪問以進入房間、請求對文件或存儲單元的訪問、使用機器或工具、或者觸發存在信號。利用此設置，系統因此可自動地檢查第一用戶是否缺席，并且響應于此而向池中的副手用戶授予用戶的訪問權限。

如本文所使用的，用戶通常指人。然而，其也可以指其它實體，諸如機器或軟件程序。

如本文所使用的，訪問權限包括實體訪問權限(諸如進入指定區域的權限)和邏輯訪問權限(諸如訪問特定文件或在軟件系統中做改變的權限)兩者。

通過從第一用戶向第二用戶授予訪問權限意味著給予第二用戶訪問權限。然而，這并不排除在向第二用戶授予訪問權限之后第一用戶還持有訪問權限。因此，在授予之后，第一用戶和第二用戶兩者均可以擁有訪問權限。然而，在一些實施例中，在授予之后僅有第二用戶擁有訪問權限。

以上公開的方法旨在用于具有多個資源的系統中。常見的資源連接至系統，以使得與資源相關的活動可被檢查。資源可以例如是諸如房間之類的實體區域、計算機、計算機文件、存儲單元、機器和工具。資源可進一步包括運動傳感器、光傳感器、聲音傳感器等。可以關于資源中的一些發放訪問權限。然而，對于其他資源無須是這種情況。例如，運動傳感器、光傳感器、和/或聲音傳感器是典型地不受制于訪問權限的發放的資源的示例。

第一用戶可以與若干訪問權限相關聯。為此，該方法可以進一步包括向第一用戶指派第二訪問權限，其中授予步驟包括向池中的不同用戶授予第一和第二訪問權限。不同的訪問權限可以因此授予至不同的人。這是有利的，因為其提供了更高的安全等級，并且這還將連接至訪問權限的工作載荷分布至多于一個的用戶。

為了允許更高的靈活性，并且為了進一步分布連接至訪問權限的工作載荷，該方法可以進一步包括：向池中的若干用戶授予第一訪問權限。以此方式，連接至第一訪問權限的工作載荷可以由池中的若干用戶分享。